SheByte钓鱼即服务(PhaaS)平台技术分析报告

SheByte钓鱼即服务(PhaaS)平台技术分析报告 1. 平台概述 SheByte是2024年5月出现的新型钓鱼即服务(PhaaS)平台，作为被取缔的LabHost平台的替代者，迅速占领了加拿大钓鱼攻击市场的主要份额。该平台主要针对金融机构提供复杂的钓鱼基础设施。 2. 商业模式 2.1 订阅服务 采用q99高级月度订阅套餐 长期订阅可享受折扣优惠 订阅用户可无限制使用钓鱼工具包 2.2 服务范围 17家加拿大银行 4家美国银行 电子邮件服务商 电信公司 加密货币服务 3. 平台特点 3.1 运营模式 由单一开发者运营（针对LabHost开发者被攻破的担忧） 2024年5月占据Interac品牌钓鱼攻击的8% 2024年6月上升至10% 2025年2月发布"v2"版后出现明显激增 3.2 核心技术功能 LiveRAT仪表盘 ：实时监控钓鱼访问情况 多因素认证拦截 ：可拦截MFA代码 动态信息收集 ：可向受害者索取额外信息 4. 反检测能力 4.1 规避设置 屏蔽特定地理区域 屏蔽已知代理 屏蔽疑似虚拟机的流量 4.2 CAPTCHA实现 提供多种CAPTCHA实现选项 用于过滤安全研究人员 用于过滤自动化扫描工具 5. 技术特征 5.1 文件结构 v1版Interac工具包： 使用"/go/"目录中的"start.php"文件作为登录页面 v2版工具包： 对PHP文件采用8位随机字母数字组合的命名规则 命名模式在所有攻击活动中保持一致 非每个钓鱼实例生成唯一名称 5.2 命名规则 目录使用8字符序列 表单接收器和LiveRAT组件采用7或9字符名称 6. 安全影响分析 6.1 市场影响 填补了LabHost被取缔后的市场空白 导致加拿大银行钓鱼活动明显激增 6.2 防御挑战 LiveRAT功能支持攻击者实时调整策略 可能绕过标准安全措施 持续进化的战术增加检测难度 7. 检测与防御建议 7.1 检测指标 监控"/go/"目录中的"start.php"文件 识别8位随机字母数字组合的PHP文件名 注意8字符目录和7/9字符组件命名模式 7.2 防御措施 加强多因素认证保护 监控异常地理区域访问 实施高级威胁检测系统 定期更新钓鱼攻击特征库 8. 总结 SheByte代表了钓鱼即服务平台的进化方向，其订阅制商业模式、实时攻击控制能力和先进的反检测技术使其成为当前网络安全的重要威胁。安全团队需要持续关注其技术演变，及时更新防御策略。